实际的攻防演练过程中的实际例子

蓝队经典攻击实例

实战攻防演练中红队 络的部署情况各有特点，蓝队也会根据攻 击目标的不同而采取不同的攻击策略和手段。下面几个案例展示的就 是针对红队 络的不同薄弱点采取的不同的典型攻击策略与方法手 段。

正面突破：跨 段控制工控设备

某企业为一家国内的大型制造业企业，其内部生产 大量使用双 卡技术实现 络隔离。在本次实战攻防演练中，攻击队的目标是获 取该企业工控设备的控制权限。

经过前期的情 搜集与分析，攻击队制定了首先突破办公内 ， 再通过办公内 渗透进入工控 的战略部署。

（1）突破办公内

攻击队首先选择将该企业的门户 站作为突破口，并利用一个 0day漏洞获取了该门户 站的应用及操作系统的管理员权限，从而获 取到该企业办公内 的接入权限。

在横向拓展过程中，攻击队又探测到该企业内 中的多个服务系 统和多台服务器。使用已经获得的门户 站管理员账 和密码进行撞 库攻击，成功登录并控制了该企业内 中的绝大多数服务器。这表 明，该企业内 中有大量系统服务器使用了相同的管理员账 和密 码。

至此，攻击队突破办公 的第一阶段目标顺利完成，并取得了巨 大的战果。接下来的目标就是找到工控 络的突破口。

（2）定位运维人员

经过对已攻破服务器系统的全面排查，攻击队发现，有多台服务 器中存储了用Excel明文记录的密码本，密码本中包含所有系统用户的 账 和密码。同时，服务器上还明文存储了大量内部敏感文件，包括 企业IT部门的组织架构等信息。结合组织架构及密码本信息，攻击队 成功定位到一位工控系统的运维人员，并对其联 行为展开长时间的 监控。

（3）突破工控

经过一段时间的监控，攻击队发现该运维人员的办公终端上有嵌 套使用远程桌面的情况：首先通过远程桌面登录一台主机A，继而又用 主机A通过远程桌面登录另一 段的主机B。通过与密码本比对，发现 主机A和B都是该企业工控系统中的主机设备，但处于 络拓扑结构中 的不同层级。其中，主机B之下连有关键的工控设备。

进一步分析发现：主机A使用了双 卡，两个 卡分别对应不同 段，但它们之间没有采取任何隔离措施；主机B也是一台双 卡主机， 其上部署了隔离卡软件用于双 卡切换。

最终，攻击队发现了主机B上隔离卡软件的一个重大设计缺陷，并 利用该缺陷成功绕过双 卡的隔离机制，成功获取到工控设备的操作 权限，可以随意停止、启动、复位相应的工控设备，某些操作可对设 备的生产过程造成直接且严重的伤害。

浑水摸鱼： 工钓鱼，突破系统

某企业为一家国内的大型国有企业，该企业部署了比较完善的 络安全防护设备。在本次实战攻防演练中，攻击队的目标是获取该企 业财务系统的控制权限。

经过前期的情 搜集与分析，目标企业外 的开放系统非常少， 也没有可利用的漏洞，很难直接突破目标外 ，于是攻击队将突破重 点放在了钓鱼上。

（1）破解员工邮箱密码

攻击队通过 上搜索以及搜索一些开源 工库，搜集到一批目标 企业的工作人员邮箱列表。掌握这批邮箱列表后，攻击队便根据已泄 露的密码规则、123456和888888等常见弱口令、用户名与密码相同、 用户名123这种弱口令生成了一份弱口令字典。利用hydra等工具进行 爆破，攻击队成功破解一名员工的邮箱密码。

（2）改造和伪装钓鱼邮件

攻击队对该名员工的来往邮件进行分析后发现，他是IT技术部员 工。查看该邮箱发件箱，看到他发过一封邮件，邮件标题和附件如 下。

标题：关于员工关掉445端口以及3389端口的操作过程 附件：操作流程.zip

标题：关于员工关掉445端口以及3389端口的操作补充 附件：操作流程补充.zip

（3）根据身份精准钓鱼

为提高攻击成功率，通过对目标企业员工的分析，攻击队决定向 财务部门以及几个与财务相关的部门群发邮件。

攻击队发送了一批邮件，有好几个企业员工都被骗，打开了附 件。控制了更多的主机，继而便控制了更多的邮箱。在钓鱼邮件的制 作过程中，攻击队灵活根据目标的角色和特点来构造。譬如在查看邮 件过程中，发现如下邮件：

尊敬的各位领导和同事，发现钓鱼邮件事件，内部定义为19626事 件，请大家注意后缀为.exe、.bat等的邮件附件。

攻击队同样采用浑水摸鱼的策略，利用以上邮件为母本，以假乱 真地构造以下邮件继续钓鱼：

尊敬的各位领导和同事，近期发现大量钓鱼邮件，以下为检测程 序……

附件：检测程序.zip

通过不断地获取更多的邮箱权限、系统权限，根据目标角色针对 性地设计钓鱼邮件，攻击队最终成功拿下目标。

3. 偷梁换柱：冒充客户，突破边界

某大型设备制造企业具有比较成熟的互联 服务经验。在本次实 战攻防演练中，攻击队的目标是获取该企业的一个核心业务管控平台 的控制权限。

攻击队在前期的情 搜集工作中发现，该企业内部的 络防御体 系比较健全，正面突破比较困难。经过头脑风暴，大家达成共识—— 通过 工方法迂回入侵。

（1）寻找 工突破口

攻击队首先想到的 工方法也是最常见的邮件钓鱼。但考虑到该 企业相对完善的 络防御体系，猜测其内 中很可能已经部署了邮件 检测类的防御手段，简单地使用邮件钓鱼，很有可能会被发现。

进一步的情 搜集发现，该企业使用了微信客服平台，而且微信 客服平台支持实时聊天和发送文件。考虑到客服人员一般没有很强的 技术功底，安全意识相对薄弱，攻击队最终商定：将 工对象确定为 微信客服人员，并以投诉为话题尝试对客服人员进行钓鱼（见图5- 1）。

图5-2　流量数据混淆WAF穿透的主要手段

通过这样的攻击方案，蓝队同时拿下营销 站和Web应用。在营销 站上的动作更多，包括关闭杀软、提权、安置后门程序、批量进行 内 扫描等众多敏感操作；同时在Web应用上利用营销 站上获得的内 信息，直接建立据点，开展内 渗透操作。

（4）隐秘渗透，拿下权限

很快红队就将营销 站下线了，并开始根据流量开展分析、溯源 和加固工作；而此时蓝队已经在Web应用上搭建了FRP Socks代理，通 过内 横向渗透拿下多台服务器，使用了多种协议木马，并备份了多 个通道稳固权限，以防被红队发现或直接踢出局。接下来的几天服务 器权限再未丢失，蓝队继续后渗透，拿下域管理员、域控制器，最终 拿下目标权限——工控系统等核心平台的控制权限。

在渗透工作收尾的后期，蓝队通过目标企业安全信息中心的员工 邮件看到，红队此时依旧在对营销 站产生的数据 警进行分析和上 防守战果等工作，然而该企业的目标系统早已被蓝队拿下了。

迂回曲折：供应链定点攻击

某超大型企业在实战攻防演练中，攻击队的目标是获取该企业内 部系统的安全管控权限。

攻击队通过前期的情 搜集和摸排后发现，该企业的办公 络及 核心工业控制系统有非常严密的安全防护，对互联 暴露的业务系统 较少，而且业务系统做了安全加固及多层防护，同时拥有较强的日常 络安全运维保障能力。想要正面突破，非常困难。

前期情 分析还显示，该企业虽然规模大、人员多，但并不具备 独立的IT系统研发和运维能力，其核心IT系统的建设和运维实际上大 多来自外部采购或外包服务。于是，根据这一特点，攻击队制定了从 供应链入手的整体攻击策略。

（1）寻找目标供应商

攻击队首先通过检索“喜 ”“中标”“签约”“合作”“验 收”等关键词，在全 范围内，对该企业的供应商及商业合作伙伴进 行地毯式排查，最终选定将该企业的专用即时通信系统开发商A公司作 为主要攻击目标。

情 显示，A公司为该企业开发的专用即时通信系统刚刚完成。攻 击队推测该系统目前尚处于测试阶段，A公司应该有交付和运维人员长 期驻场为该企业提供运维全服务。要是能拿下驻场人员的终端设备， 就可以进入该公司的内 系统。

（2）盗取管理员账

分析发现，A公司开发的即时通信系统其公司内部也在使用，而该 系统的 络服务管理后台存在一个已知的系统安全漏洞。攻击队利用 该漏洞获取了服务器的控制权，并通过访问服务器的数据库系统，获 取了后台管理员的账 和密码。

（3）定位驻场人员

攻击队使用管理员的账 和密码登录服务器后，发现该系统的聊 天记录在服务器上是准明文（低强度加密或变换）存储的，而且管理 员可以不受限制地翻阅其公司内部的历史聊天记录。

攻击队对聊天记录进行关键字检索后发现：A公司有3名员工的聊 天记录中多次出现目标企业名、OA、运维等字眼，并且这3名员工的登 录IP经常落在目标企业的专属 段上。攻击队由此断定，这3名员工就 是A公司在目标企业的驻场人员。

（4）定向恶意升级包

攻击队最初的设想是，通过被控的即时通信软件服务器，向3名驻 场人员定向发送恶意升级包。但这种攻击方法需要修改服务器系统配 置，稍有不慎就可能扩大攻击面，给演练工作造成不必要的损失，同 时也有可能暴露自身的攻击活动。

为实现对3名驻场人员进行更加隐蔽的定向攻击，攻击队对A公司 的即时通信系统进行了更加深入的安全分析，发现其客户端软件对服 务器的身份安全验证、对升级包的合法性校验机制都存在设计缺陷。

于是，攻击队利用上述缺陷，通过中间人攻击对服务器推送给3名 驻场人员的客户端软件升级包进行了劫持和篡改。最终，3名驻场人员 都在没有任何感知的情况下，在各自的PC上安装了攻击队伪装设计的 恶意升级包。

（5）横向拓展 攻击队以驻场人员的运维机作为跳板机进入内 后，开始横向拓

展。

攻击队首先找到了该企业的一台域控服务器，并利用一个最新曝 出的域控系统安全漏洞，获取了该主域的域账 和密码的哈希信息。 但防守队很快发现了此次攻击，并对该域控服务器进行了隔离。

不过，攻击队并没有放弃，又在内 中找到了一套终端安全管理 系统。攻击队经过现场挖掘，找到了该系统的一个新的0day漏洞，并 利用该漏洞获取了管理员权限。在登录管理系统后台后，攻击方可下 发和执行任意命令，能够控制该安全管理系统所辖范围内的所有终端 设备。

李代桃僵：旁路攻击，搞定目标

某企业为大型商贸企业，在全国多个城市拥有子公司。在本次实 战攻防演练中，攻击队的目标是获取该企业内部核心平台的控制权 限。

（1）外 关闭，无从下手

在攻击过程中，蓝队碰到过很多怪异的事情，比如：有的红队将 站首页替换成一张截图；有的将数据传输接口全部关闭，采用Excel 表格的方式进行数据导入；有的对内 目标系统的IP做了限定，仅允 许某个管理员IP访问。

本次蓝队就遇到了一件类似的事情：目标企业把外 系统能关的 都关了，甚至对邮件系统都制订了策略，基本上没有办法实现打点和 进入内 。

（2）改变策略，攻击分部

为此，蓝队经过充分的信息搜集后，决定采取“李代桃僵”的策 略：既然母公司无法进攻，那么就进攻二级子公司。然而蓝队在工作 过程中发现，子公司也做好了防护，基本上无懈可击。一不做，二不 休，二级子公司无法进攻，那么就攻击二级子公司下属的三级子公 司。图5-3所示为公司内部的信任通联常被攻击者利用的示例。

（3）逐个击破，层层渗透

于是，蓝队从三级子公司下手，利用SQL注入+命令执行漏洞成功 进入三级子公司A的DMZ区。然后，继续渗透、内 横向拓展，控制了 三级子公司的域控、DMZ服务器。在三级子公司A稳固权限后，尝试搜 集最终目标的内 信息、三级子公司信息，未发现目标系统信息，但 发现三级子公司A的内 可以访问二级子公司B的 络。

图5-4　对外暴露的协同办公等业务系统是主要的被攻击对象 （2）利用存留后门脚本，继续发起攻击

本来是件令人沮丧的事情，然而蓝队在测试后发现：红队虽然对 OA系统进行了迁移并修复了漏洞，但是居然没有删除全部的Webshell 后门脚本；部分后门脚本仍然混杂在OA程序中，并被重新部署在新的 服务器上。攻击队通过连接之前植入的Webshell，顺利提权，拿到了 服务器权限。

拿到服务器权限后，蓝队发现红队的管理员居然连接到OA服务器 进行管理操作，并将终端PC主机的磁盘全部挂载到OA服务器上。蓝队 发现这是一个顺手牵羊的好机会。

（3）耐心等待时机，获取核心权限

蓝队小心翼翼地对管理员身份及远程终端磁盘文件进行确认，并 向该管理员的终端磁盘写入了自启动后门程序。经过一天的等待，红 队管理员果然重启了终端主机，后门程序上线。在获取到管理员的终 端权限后，蓝队很快发现，该管理员为单位运维人员，主要负责内部 络部署、服务器运维管理等工作。该管理员使用MyBase工具对重要 服务器信息进行加密存储。攻击队通过键盘记录器，获取了MyBase主 密钥，继而对MyBase数据文件进行了解密，最终获取了包括VPN、堡垒 机、虚拟化管理平台等关键系统的账 及口令。

最终，蓝队利用获取到的账 和口令登录虚拟化平台，定位到演 练目标系统的虚拟主机，并顺利获取了管理员权限。至此，渗透工作 完成！

暗度陈仓：迂回渗透，取得突破

在有明确重点目标的实战攻防演练中，红队通常都会严防死守、 严阵以待，时刻盯着从外 进来的所有流量，不管你攻还是不攻，他 们都始终坚守在那里。一旦发现有可疑IP，他们会立即成段地封堵， 一点机会都不留。此时，从正面硬碰硬显然不明智，蓝队一般会采取 暗度陈仓的方式，绕过红队的防守线，从没有防守的地方开展迂回攻 击。蓝队这回遇到的就是这样一块硬骨头。

（1）防守固若金汤，放弃正面突破

蓝队在确定攻击目标后，对目标企业的域名、IP段、端口、业务 等信息进行搜集，并对可能存在漏洞的目标进行尝试性攻击。结果发 现，大多数目标要么已关闭，要么使用了高强度的防护设备。在没有 0day漏洞且时间有限的情况下，蓝队决定放弃正面突破，采取暗度陈 仓策略。

（2）调查公司业务，从薄弱环节入手

通过相关查询 站，蓝队了解到整个公司的子公司及附属业务的 分布情况，目标业务覆盖中国香港、中国台湾、韩国、法国等国家/地 区，其中中国香港的业务相对较多，极大可能有互相传送数据及办公 协同的内 ，故决定将其业务作为切入点。

经过对中国香港业务进行一系列的踩点和刺探，蓝队在目标企业 的香港分部业务 站找到一个SA权限的注入点，成功登录后台并利用 任意文件上传完成getshell。通过数据库SA权限获取数据库服务器的 system权限，发现数据库服务器在域内且域管是登录状态。由于服务 器装有赛门铁克杀毒软件，因此采取添加证书的方式，成功绕过杀毒 软件并抓到域管密码，同时导出了域Hash及域结构。

（3）外围渗透，获取权限

由于在导出的域结构中发现了中国内地域的机器，蓝队开始尝试 从中国香港域向目标所在的中国内地域开展横向渗透。在中国内地域 的IP段内找到一台服务器并完成getshell，提权后抓取到此服务器密

码。利用抓取到的密码尝试登录其他服务器，成功登录一台杀毒服务 器，并在该杀毒服务器上成功抓到中国内地域的域管密码。使用域管 账 成功控制堡垒机、运维管理、VPN等多个重要系统。

通过大量的信息搜集，蓝队最终获得了渗透目标的IP地址，利用 前期搜集到的账 和密码成功登录目标系统，并利用任意文件上传漏 洞获取服务器权限。至此，整个渗透工作结束。

短兵相接：近源渗透，直入内

某企业为大型金融企业，核心业务关系国计民生。因为行业特殊 性，其互联 侧的接口非常少，并且安全防护非常严密，没有可以利 用的突破条件。在外 无法直接突破的情况下，蓝队采用近源攻击的 方式，冒充目标企业内部人员进入其办公内 ，利用其公共区内的安 全漏洞，成功接入其核心内 。

（1）前期侦察发现无懈可击，放弃常规 络突破手段

在开展 络攻击前，蓝队针对该目标进行了细致的信息搜集和侦 察，对公司总部、分支机构等名下的域名、IP以及开放的互联 业务 应用进行了仔细梳理，未发现可利用的地方。遂放弃了采用常规 络 突破手段，决定利用目标可能存在的人员管理漏洞开展攻击。

（2）利用办公区人员进出管理漏洞，冒充内部工作人员进入

通过对目标某子机构办公现场侦察，蓝队发现该子机构对进入目 标办公区的人员管理比较松懈：只要戴着单位工牌，就可直接进入办 公区，门口保安并不做过多的查验和辨识。蓝队遂在 上购买与该目 标同一样式的工牌，制作假身份信息，冒充内部工作人员，在办公时 间堂而皇之地进入目标办公区。

（3）利用无人值守主机，顺利接入内

进入目标子机构办公大楼后，蓝队发现各楼层楼梯可随意穿行， 畅通无阻，办公区有无人值守工位计算机且有 线连接。蓝队来到无 人值守工位并通过U盘工具进行登录密码绕过，打开多台办公区电脑， 发现机器均为生产机器， 段在生产区内，可进行内 横向拓展。

（4）再接再厉，渗透控制核心业务系统

蓝队通过无人值守计算机接入生产 ，对内 进行扫描探测，发 现了目标业务生产内 关管理系统；通过默认口令控制内 关管 理系统，并进一步控制生产区堡垒机，可控制堡垒机下所有核心业务 系统，还可以通过目标子机构和总部业务 络深入接触总部的业务相 关系统。因涉及数据安全，故终止操作。

参考资料

红蓝攻防构建实战化 络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南

文章知识点与官方知识档案匹配，可进一步学习相关知识云原生入门技能树首页概览8582 人正在系统学习中